SlideShare une entreprise Scribd logo
1  sur  25
Télécharger pour lire hors ligne
SÉCURITÉ POUR LES
–
ENTREPRISES DANS
–
UN MONDE NUAGEUX
–
ET MOBILE

Sophia-Antipolis 01/07/2013
Cyril Grosjean
cgrosjean@janua.fr
0950 677 462
Cyril Grosjean
- Directeur technique de Janua depuis 2004
•

Expert en gestion des identités
• Contrôle d'accès, sécurité, PKI
• SSO, Fédération
• Provisioning
• Annuaires

- Consultant des services professionnels chez Netscape
puis Sun pendant 6 ans
Agenda
•
•
•
•

Un monde qui bouge
ForgeRock Open Identity Stack
Les standards qui émergent
Une vision d’architecture
Avant: une sécurité monolithique

●
●
●
Aujourd'hui: des besoins d'accès multiples

●
●
●
Accélération des
moyens de
communication
Source: Rapport Forrester “Navigate the future of Identity and Access Management” 2012

Le cloud
Source: Rapport Forrester “Navigate the future of Identity and Access Management” 2012

La mobilité
Le social
Revoir l’infrastructure de sécurité

• Besoin d’une gestion des identités distribuée,
dynamique et capable d’une grande échelle.

• Peut-on faire confiance:
• à un utilisateur ?
• à un appareil ?

• Arrêter la prolifération des mots de passe.
Les solutions existent

• ForgeRock Open Identity Stack

• Une solution open source
• Ecrite en Java
• Issue des projets de Sun Microsystems

• Janua: partenaire de Forgerock
• Conseil
• Expertise
• Intégration, développement
Open
Identity
Stack
OpenAM: Authentification et contexte

• Qui est qui ?
• Authentification

• simple
• à facteurs multiples
• variant en fonction du contexte

• Une application ne peut pas tout prévoir.
• Autant déléguer à un service d’authentification:

• OpenAM : 19 modules d’authentification disponibles
•Une fois authentifié, on peut:

• Réutiliser le cookie
• Faire de la fédération entre sites

•SAMLv2

• Permet l’échange d’attributs
• Véhicule les autorisations
• Anonymité possible

•WS-Federation
•Single Sign Out

OpenAM:
SSO et
fédération
OpenAM: Autorisations

• Qui peut faire quoi ?
• Centralisée :

• L’entreprise établit des règles sur qui peut faire quoi
• XACML

• Déléguée:

• Le proprietaire d’une ressource, autorise une application à y
accéder.

• RBAC
OpenIDM: Gestion des identités
OpenDJ: Stockage des identités

• LDAP, standard de facto
• Capacité en volume et en performances
• Haute disponibilité
• OpenDJ 2.6 proposera un service “REST to LDAP”
• Nombreuses fonctionnalités
• Support des derniers standards LDAP
• Evolutif (architecture modulaire, développé en Java)
Des standards emergent

SCIM
System for
Cross-domain
Identity
Management
• Système d’autorisation déléguée
• Authentification à 3 tiers
• Protection des ressources REST
• Pour le mobile, autoriser une application à accéder
à un service.

• Persistent
• Basé sur OAuth2
• S’inspire de SAMLv2 mais

• REST / Json vs SOAP / XML
SCIM

• Standard de gestion d’identité pour les applications cloud,
les services

• Schéma standard de représentation des utilisateurs, des
groupes et des opérations de provisioning (CRUD)

• Les plateformes SaaS:

• Besoin de provisionner les utilisateurs et leurs roles
• Des fois automatiquement
• Par des interfaces propriétaires

• Maintenant à l’IETF, supporté par OpenIDM et OpenDJ
Services REST

• Representational State Transfer
• Modèle d'architecture logique
• Les Services Web / SOAP

• Problèmes de performance
• Problème de SPOF (Single Point of Failure)

• Focus sur REST
• Une approche plus “Internet”
• Supportés par de nombreux langages
IAM sous forme d’API

• Couche d’API REST pour les services
IAM

• Applicable à toutes les applications
• Découplage quoi / comment
• OAuth2 pour protéger l’accès

Internet

/authentifier /autoriser
/logout /users ...

Infrastructure IAM
Conclusion
L’architecture de sécurité
des entreprises doit évoluer:

•
•
•

Un service IAM
Accessible par API REST
Avec OAuth2
Qui sommes nous ?
●

●

●

●

●

●

Société de consulting et de services en logiciels libres (SS2L)
fondée en 2004 à Sophia Antipolis après 15 ans chez Sun
Notre métier : l'Expertise
Nos domaines techniques de prédilection : Gestion des identités
(IAM) en Open Source, Open Data et couches basses des
infrastructures DataCenter.
Nos prestations : Consulting, Intégration, Accompagnement et
développement au forfait.
Notre approche : les processus itératifs, les maquettes (POC) et
l'utilisation des méthodologies dites "Agiles".
Notre « philosophie/éthique » : l'Open Source et l'humain..

Contenu connexe

En vedette

Open XKE - De la cave au Cloud par Aurélien Maury
Open XKE - De la cave au Cloud par Aurélien MauryOpen XKE - De la cave au Cloud par Aurélien Maury
Open XKE - De la cave au Cloud par Aurélien Maury
Publicis Sapient Engineering
 
Diplomado edumatica sesión #1
Diplomado edumatica   sesión #1Diplomado edumatica   sesión #1
Diplomado edumatica sesión #1
Juan Cardona
 
Entrevista a Gina Badenoch en Animal político
Entrevista a Gina Badenoch en Animal políticoEntrevista a Gina Badenoch en Animal político
Entrevista a Gina Badenoch en Animal político
Ojos Que Sienten
 
08 cercles et sphères
08 cercles et sphères08 cercles et sphères
08 cercles et sphères
Achraf Ourti
 

En vedette (20)

UnivCloud, le cloud computing des universités franciliennes
UnivCloud, le cloud computing des universités franciliennesUnivCloud, le cloud computing des universités franciliennes
UnivCloud, le cloud computing des universités franciliennes
 
Des idées à propos du CLOUD Computing
Des idées à propos du CLOUD ComputingDes idées à propos du CLOUD Computing
Des idées à propos du CLOUD Computing
 
Le Microsoft Graph et le développement Office 365
Le Microsoft Graph et le développement Office 365Le Microsoft Graph et le développement Office 365
Le Microsoft Graph et le développement Office 365
 
Advanced analytics with R and SQL
Advanced analytics with R and SQLAdvanced analytics with R and SQL
Advanced analytics with R and SQL
 
Francis Paquet: Visualisations innovantes
Francis Paquet: Visualisations innovantesFrancis Paquet: Visualisations innovantes
Francis Paquet: Visualisations innovantes
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
 
Mini Transat 2017 Julien Mizrachi francais
Mini Transat 2017 Julien Mizrachi francaisMini Transat 2017 Julien Mizrachi francais
Mini Transat 2017 Julien Mizrachi francais
 
Le Cloud Computing pour les nuls
Le Cloud Computing pour les nulsLe Cloud Computing pour les nuls
Le Cloud Computing pour les nuls
 
Open XKE - De la cave au Cloud par Aurélien Maury
Open XKE - De la cave au Cloud par Aurélien MauryOpen XKE - De la cave au Cloud par Aurélien Maury
Open XKE - De la cave au Cloud par Aurélien Maury
 
Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?Cloud Computing: De la recherche dans les nuages ?
Cloud Computing: De la recherche dans les nuages ?
 
8497 arauca
8497 arauca8497 arauca
8497 arauca
 
Diplomado edumatica sesión #1
Diplomado edumatica   sesión #1Diplomado edumatica   sesión #1
Diplomado edumatica sesión #1
 
Entrevista a Gina Badenoch en Animal político
Entrevista a Gina Badenoch en Animal políticoEntrevista a Gina Badenoch en Animal político
Entrevista a Gina Badenoch en Animal político
 
Social commerce - Emailvision
Social commerce - EmailvisionSocial commerce - Emailvision
Social commerce - Emailvision
 
Boletin final
Boletin finalBoletin final
Boletin final
 
Transgenicos
 Transgenicos Transgenicos
Transgenicos
 
08 cercles et sphères
08 cercles et sphères08 cercles et sphères
08 cercles et sphères
 
2014 formation documentaire_des8003
2014 formation documentaire_des80032014 formation documentaire_des8003
2014 formation documentaire_des8003
 
Tendances e-tourisme - Alexis Mons - Rencontres du numérique en Haute Bretagne
Tendances e-tourisme - Alexis Mons - Rencontres du numérique en Haute BretagneTendances e-tourisme - Alexis Mons - Rencontres du numérique en Haute Bretagne
Tendances e-tourisme - Alexis Mons - Rencontres du numérique en Haute Bretagne
 
Workaholisme/ addiction au travail
Workaholisme/ addiction au travail Workaholisme/ addiction au travail
Workaholisme/ addiction au travail
 

Similaire à Sophia conf2013 cg

Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
LINAGORA
 

Similaire à Sophia conf2013 cg (20)

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
 
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...
 
Sophia conf securite microservices - 2017
Sophia conf   securite microservices - 2017Sophia conf   securite microservices - 2017
Sophia conf securite microservices - 2017
 
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeurs
 
Sophia conf2014
Sophia conf2014Sophia conf2014
Sophia conf2014
 
Aspectize meetup
Aspectize meetupAspectize meetup
Aspectize meetup
 
Integration summit 2016 keynote
Integration summit 2016  keynoteIntegration summit 2016  keynote
Integration summit 2016 keynote
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud ComputingOWASP Quebec ce que vous devriez savoir sur le Cloud Computing
OWASP Quebec ce que vous devriez savoir sur le Cloud Computing
 
Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinID
 
Objectif fluid<fab />
Objectif fluid<fab />Objectif fluid<fab />
Objectif fluid<fab />
 
Global Office Bootcamp Montreal 2018 Introduction au Microsoft Graph
Global Office Bootcamp Montreal 2018 Introduction au Microsoft GraphGlobal Office Bootcamp Montreal 2018 Introduction au Microsoft Graph
Global Office Bootcamp Montreal 2018 Introduction au Microsoft Graph
 
TechDays 2012 - Windows Azure
TechDays 2012 - Windows AzureTechDays 2012 - Windows Azure
TechDays 2012 - Windows Azure
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUESARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUES
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
 

Plus de Pascal Flamand

Plus de Pascal Flamand (20)

Start14 french tech startuffe nation
Start14 french tech startuffe nationStart14 french tech startuffe nation
Start14 french tech startuffe nation
 
Article "Un an de télétravail et de COVID" dans le magazine Start
Article "Un an de télétravail et de COVID" dans le magazine StartArticle "Un an de télétravail et de COVID" dans le magazine Start
Article "Un an de télétravail et de COVID" dans le magazine Start
 
Article "La tyrannie du risque zéro" dans le magazine Start
Article "La tyrannie du risque zéro" dans le magazine StartArticle "La tyrannie du risque zéro" dans le magazine Start
Article "La tyrannie du risque zéro" dans le magazine Start
 
Article "quand les licornes voleront..." dans le magazine Start
Article "quand les licornes voleront..." dans le magazine StartArticle "quand les licornes voleront..." dans le magazine Start
Article "quand les licornes voleront..." dans le magazine Start
 
Article sur "Le temps des c(e)rises" dans le magazine Start
Article sur "Le temps des c(e)rises" dans le magazine StartArticle sur "Le temps des c(e)rises" dans le magazine Start
Article sur "Le temps des c(e)rises" dans le magazine Start
 
TOC training Keycloak RedhatSSO advanced
TOC training Keycloak RedhatSSO advancedTOC training Keycloak RedhatSSO advanced
TOC training Keycloak RedhatSSO advanced
 
TOC training KeyCloak Redhat SSO core
TOC training KeyCloak Redhat SSO coreTOC training KeyCloak Redhat SSO core
TOC training KeyCloak Redhat SSO core
 
Article sur l'Agilité dans le magazine Start
Article sur l'Agilité dans le magazine StartArticle sur l'Agilité dans le magazine Start
Article sur l'Agilité dans le magazine Start
 
Article sur l'IA dans le magazine Start
Article sur l'IA dans le magazine StartArticle sur l'IA dans le magazine Start
Article sur l'IA dans le magazine Start
 
Article sur la Smart City dans le magazine Start
Article sur la Smart City dans le magazine StartArticle sur la Smart City dans le magazine Start
Article sur la Smart City dans le magazine Start
 
TOC training Keycloak RedhatSSO UMA
TOC training Keycloak RedhatSSO UMATOC training Keycloak RedhatSSO UMA
TOC training Keycloak RedhatSSO UMA
 
Article sur les Startup dans le magazine Start
Article sur les Startup dans le magazine StartArticle sur les Startup dans le magazine Start
Article sur les Startup dans le magazine Start
 
TOC training Keycloak RedhatSSO advanced
TOC training Keycloak RedhatSSO advancedTOC training Keycloak RedhatSSO advanced
TOC training Keycloak RedhatSSO advanced
 
TOC training KeyCloak Redhat SSO core
TOC training KeyCloak Redhat SSO coreTOC training KeyCloak Redhat SSO core
TOC training KeyCloak Redhat SSO core
 
TOC training OpenIDM
TOC training OpenIDMTOC training OpenIDM
TOC training OpenIDM
 
Article sur les Pitchs dans le magazine Start
Article sur les Pitchs dans le magazine StartArticle sur les Pitchs dans le magazine Start
Article sur les Pitchs dans le magazine Start
 
Article sur la Transformation Digitale dans le Magazine Start
Article sur la Transformation Digitale dans le Magazine StartArticle sur la Transformation Digitale dans le Magazine Start
Article sur la Transformation Digitale dans le Magazine Start
 
Article sur l'IA dans le magazine Start
Article sur l'IA dans le magazine StartArticle sur l'IA dans le magazine Start
Article sur l'IA dans le magazine Start
 
Tribune paca jaguards 12.12.18
Tribune paca jaguards 12.12.18Tribune paca jaguards 12.12.18
Tribune paca jaguards 12.12.18
 
Partenariat Jaguards - Busit
Partenariat Jaguards - BusitPartenariat Jaguards - Busit
Partenariat Jaguards - Busit
 

Sophia conf2013 cg

  • 1. SÉCURITÉ POUR LES – ENTREPRISES DANS – UN MONDE NUAGEUX – ET MOBILE Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua.fr 0950 677 462
  • 2. Cyril Grosjean - Directeur technique de Janua depuis 2004 • Expert en gestion des identités • Contrôle d'accès, sécurité, PKI • SSO, Fédération • Provisioning • Annuaires - Consultant des services professionnels chez Netscape puis Sun pendant 6 ans
  • 3. Agenda • • • • Un monde qui bouge ForgeRock Open Identity Stack Les standards qui émergent Une vision d’architecture
  • 4. Avant: une sécurité monolithique ● ● ●
  • 5. Aujourd'hui: des besoins d'accès multiples ● ● ●
  • 7. Source: Rapport Forrester “Navigate the future of Identity and Access Management” 2012 Le cloud
  • 8. Source: Rapport Forrester “Navigate the future of Identity and Access Management” 2012 La mobilité
  • 10. Revoir l’infrastructure de sécurité • Besoin d’une gestion des identités distribuée, dynamique et capable d’une grande échelle. • Peut-on faire confiance: • à un utilisateur ? • à un appareil ? • Arrêter la prolifération des mots de passe.
  • 11. Les solutions existent • ForgeRock Open Identity Stack • Une solution open source • Ecrite en Java • Issue des projets de Sun Microsystems • Janua: partenaire de Forgerock • Conseil • Expertise • Intégration, développement
  • 13. OpenAM: Authentification et contexte • Qui est qui ? • Authentification • simple • à facteurs multiples • variant en fonction du contexte • Une application ne peut pas tout prévoir. • Autant déléguer à un service d’authentification: • OpenAM : 19 modules d’authentification disponibles
  • 14. •Une fois authentifié, on peut: • Réutiliser le cookie • Faire de la fédération entre sites •SAMLv2 • Permet l’échange d’attributs • Véhicule les autorisations • Anonymité possible •WS-Federation •Single Sign Out OpenAM: SSO et fédération
  • 15. OpenAM: Autorisations • Qui peut faire quoi ? • Centralisée : • L’entreprise établit des règles sur qui peut faire quoi • XACML • Déléguée: • Le proprietaire d’une ressource, autorise une application à y accéder. • RBAC
  • 16. OpenIDM: Gestion des identités
  • 17. OpenDJ: Stockage des identités • LDAP, standard de facto • Capacité en volume et en performances • Haute disponibilité • OpenDJ 2.6 proposera un service “REST to LDAP” • Nombreuses fonctionnalités • Support des derniers standards LDAP • Evolutif (architecture modulaire, développé en Java)
  • 18. Des standards emergent SCIM System for Cross-domain Identity Management
  • 19. • Système d’autorisation déléguée • Authentification à 3 tiers • Protection des ressources REST • Pour le mobile, autoriser une application à accéder à un service. • Persistent
  • 20. • Basé sur OAuth2 • S’inspire de SAMLv2 mais • REST / Json vs SOAP / XML
  • 21. SCIM • Standard de gestion d’identité pour les applications cloud, les services • Schéma standard de représentation des utilisateurs, des groupes et des opérations de provisioning (CRUD) • Les plateformes SaaS: • Besoin de provisionner les utilisateurs et leurs roles • Des fois automatiquement • Par des interfaces propriétaires • Maintenant à l’IETF, supporté par OpenIDM et OpenDJ
  • 22. Services REST • Representational State Transfer • Modèle d'architecture logique • Les Services Web / SOAP • Problèmes de performance • Problème de SPOF (Single Point of Failure) • Focus sur REST • Une approche plus “Internet” • Supportés par de nombreux langages
  • 23. IAM sous forme d’API • Couche d’API REST pour les services IAM • Applicable à toutes les applications • Découplage quoi / comment • OAuth2 pour protéger l’accès Internet /authentifier /autoriser /logout /users ... Infrastructure IAM
  • 24. Conclusion L’architecture de sécurité des entreprises doit évoluer: • • • Un service IAM Accessible par API REST Avec OAuth2
  • 25. Qui sommes nous ? ● ● ● ● ● ● Société de consulting et de services en logiciels libres (SS2L) fondée en 2004 à Sophia Antipolis après 15 ans chez Sun Notre métier : l'Expertise Nos domaines techniques de prédilection : Gestion des identités (IAM) en Open Source, Open Data et couches basses des infrastructures DataCenter. Nos prestations : Consulting, Intégration, Accompagnement et développement au forfait. Notre approche : les processus itératifs, les maquettes (POC) et l'utilisation des méthodologies dites "Agiles". Notre « philosophie/éthique » : l'Open Source et l'humain..